Italiano
  • rilascio

Aggiornamenti sul prodotto Logto

Logto v1.38.0 è arrivato. Questa versione introduce il supporto al Device Authorization Grant OAuth 2.0, l'accesso tramite passkey, MFA adattivo, gestione di sessioni e grant, e una configurazione OIDC più flessibile per le distribuzioni OSS.

Charles
Charles
Developer

Smetti di sprecare settimane sull'autenticazione degli utenti
Lancia app sicure più velocemente con Logto. Integra l'autenticazione degli utenti in pochi minuti e concentrati sul tuo prodotto principale.
Inizia ora
Product screenshot

Siamo entusiasti di annunciare Logto v1.38.0, la nostra release di marzo 2026! Questo aggiornamento aggiunge il device flow per le app con input limitato, introduce l'accesso tramite passkey e miglioramenti per MFA adattivo, ed espande i controlli di configurazione per sessioni, concessioni e tenant a livello Logto.

Device flow per app con input limitato

Una delle aggiunte principali di questa versione è il supporto al Device Authorization Grant OAuth 2.0. Questo rende molto più semplice creare flussi di autenticazione per dispositivi che non dispongono di una tastiera completa o di un browser, come smart TV, strumenti CLI, console di gioco e dispositivi IoT.

Con il device flow, gli utenti possono:

  • Avviare l'accesso dal dispositivo
  • Aprire un URL di verifica su un altro dispositivo
  • Inserire un breve codice utente
  • Completare l'autenticazione lì
  • Tornare al dispositivo originale con i token rilasciati

Abbiamo inoltre aggiunto il pieno supporto Console per le applicazioni device flow. Ora puoi creare app device flow selezionando App con input limitato / CLI sotto Applicazioni native, oppure scegliendo Device flow come flusso di autorizzazione durante la creazione manuale di un'app. La pagina delle impostazioni dell'applicazione include anche una guida integrata e una demo per aiutarti a iniziare.

L'accesso tramite passkey diventa un flusso di prima classe

Questa versione introduce l'accesso tramite passkey come metodo di autenticazione completo in Logto.

L'accesso tramite passkey offre un'esperienza più rapida e senza password per gli utenti che fanno ritorno, migliorando anche la sicurezza dell'account. Funziona con autenticatori di piattaforma noti come Face ID, Touch ID e Windows Hello.

Abbiamo aggiunto il supporto per diverse esperienze basate su passkey:

  • Un pulsante dedicato Continua con passkey per un accesso immediato
  • Un flusso identifier-first che dà priorità alla verifica passkey prima di ricadere su password o codice di verifica
  • Supporto all'autocompletamento del browser per scegliere una passkey salvata direttamente nel campo dell'identificatore
  • Associazione della passkey in fase di registrazione per i nuovi utenti
  • Riutilizzo di una credenziale WebAuthn MFA già esistente per l'accesso tramite passkey senza un ulteriore step di registrazione

Per ulteriori dettagli, consulta la nostra documentazione sull'accesso tramite passkey.

MFA adattivo e migliori indicazioni per MFA

Questa versione prosegue il nostro investimento in esperienze MFA moderne con due grandi miglioramenti.

MFA adattivo

L'MFA adattivo è ora supportato in Logto. Una volta abilitato, il flusso di accesso valuta le regole MFA adattive rispetto al contesto di accesso attuale e richiede MFA quando tali regole intervengono.

Questo include anche:

  • Configurazione MFA adattiva in Console
  • Contesto di accesso persistente nei dati di interazione
  • Accesso a context.interaction.signInContext negli script custom-claims
  • Un nuovo evento webhook PostSignInAdaptiveMfaTriggered

Onboarding MFA opzionale

Per gli utenti non obbligati a impostare MFA, Logto ora può mostrare una pagina dedicata di onboarding dopo la verifica delle credenziali, chiedendo se vogliono abilitare MFA per una maggiore protezione.

Questo è particolarmente utile insieme all'accesso tramite passkey, dove l'utente può voler usare le passkey per accedere senza necessariamente abilitarle come fattore MFA nello stesso momento.

Gestione di sessioni e grant fra API e Console

Questa versione aggiunge una serie importante di controlli per utente e amministratore sulla gestione delle sessioni utente e delle applicazioni autorizzate.

Gestione sessione utente

Logto ora supporta la gestione delle sessioni sia nelle API account sia nelle management API. Puoi elencare le sessioni attive, ispezionare i dettagli della sessione e revocarle con comportamento di revoca grant opzionale.

Abbiamo inoltre introdotto:

  • Un nuovo permesso session nelle impostazioni di Account Center con opzioni off, readOnly ed edit
  • Un nuovo scope utente urn:logto:scope:sessions per accesso API account relative alle sessioni
  • Un contesto sessione più ricco con IP, user agent e localizzazione geografica quando disponibile

Sul lato Console, i dettagli utente ora includono una sezione Sessioni attive e una pagina dedicata ai dettagli della sessione con supporto alla revoca.

Gestione grant delle applicazioni autorizzate

Logto ora supporta l'elenco e la revoca delle autorizzazioni applicative utente sia nelle API account che in quelle di gestione.

Questa release introduce anche una sezione App di terze parti autorizzate nella pagina dei dettagli utente su Console. Gli amministratori possono vedere le autorizzazioni di terze parti attive, visualizzare i metadati come il nome dell'app e l'orario di creazione, e revocare l'accesso direttamente dalla UI.

Limiti di dispositivi concorrenti a livello app

Le applicazioni possono ora definire un valore maxAllowedGrants in customClientMetadata per limitare il numero di grant attivi che un utente può mantenere per una specifica app. Una volta superato il limite, Logto revocherà automaticamente i grant più vecchi.

Console include anche una nuova sezione Limite dispositivi concorrenti nei dettagli dell'applicazione per configurare visivamente questa opzione.

Maggiori controlli OSS per impostazioni OIDC

Per gli utenti OSS, questa release rende le impostazioni OIDC più configurabili e semplici da gestire.

Ora puoi definire oidc.session.ttl in logto-config per personalizzare la durata della sessione del provider OIDC in secondi. Se non impostato, il valore predefinito resta 14 giorni.

Abbiamo inoltre aggiunto:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

Sul lato Console, in OSS ora c'è una nuova pagina Tenant -> Impostazioni, con una scheda Impostazioni OIDC che sostituisce la vecchia pagina delle chiavi di firma. La nuova pagina include anche il campo Tempo massimo di sessione per configurare la durata (TTL) della sessione in giorni.

Se stai eseguendo OSS, ricorda di riavviare il servizio dopo aver modificato la configurazione per caricare le nuove impostazioni OIDC. Se vuoi che gli aggiornamenti di config abbiano effetto automatico, valuta di abilitare la cache Redis centrale.

Miglioramenti all'Account Center

L'Account Center integrato riceve anche diversi utili upgrade in questa release.

Gli utenti ora possono:

  • Sostituire l'app autenticatore tramite la route dedicata /authenticator-app/replace
  • Usare il parametro URL identifier per precompilare il campo dell'identificatore
  • Sovrascrivere la lingua predefinita dell'Account Center tramite il parametro URL ui_locales

Abbiamo anche migliorato i moduli password per una migliore compatibilità con autocompletamento del browser e gestori password.

Miglioramenti API orientati agli sviluppatori

Per i team che migrano utenti su Logto, gli endpoint GET /users e GET /users/:userId ora supportano il parametro query includePasswordHash. Se abilitato, la risposta include passwordDigest e passwordAlgorithm, utili nei processi di migrazione che richiedono dati hash della password in chiaro.

Abbiamo aggiunto anche il supporto allo scambio di token di accesso in scenari di delega service-to-service. Logto è ora in grado di scambiare token di accesso opachi o JWT per nuovi token con audience differenti usando il tipo token standard urn:ietf:params:oauth:token-type:access_token.

Correzioni di bug

Questa versione include anche numerosi miglioramenti di stabilità e compatibilità:

  • Le route di verifica MFA per TOTP, WebAuthn e codici di backup ora riportano l'attività a Sentinel, rendendo più facile individuare errori ripetuti.
  • Le query dell'adapter OIDC per findByUid e findByUserCode ora usano chiavi JSONB letterali così gli indici expression funzionano meglio con piani generici preparati.
  • Ora l'inizializzazione del pool Postgres ritenta la connessione in caso di errori di avvio transitori.
  • La verifica password legacy ora supporta valori di salt PBKDF2 prefissati da hex: durante l'import degli utenti.
  • Le performance nello scambio token sono migliorate cachando le query minime OIDC e pre-generando gli ID grant in fase di rilascio token.
  • La formattazione Twilio SMS To viene ora normalizzata per numeri non E.164 assicurando la presenza di un + iniziale.

Breaking changes

Questa versione include una breaking change per il toolkit dei connettori.

L'export mockSmsVerificationCodeFileName, a lungo deprecato, è stato rimosso da @logto/connector-kit.

Abbiamo anche aggiornato i percorsi file usati dai connettori mock per l'archiviazione dei messaggi inviati:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Se i tuoi workflow locali o basati su Docker dipendono dai vecchi path, sarà necessario aggiornarli.

Nuovi contributori

Grazie ai nuovi contributori che hanno aiutato a migliorare Logto:

Inizia ora

Pronto all'upgrade? Consulta la nostra guida all'aggiornamento per istruzioni passo-passo.

Per l'elenco completo dei cambiamenti, vedi la pagina di rilascio su GitHub.

Hai domande o feedback? Unisciti a noi su Discord o apri una issue su GitHub.